+0 
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Control d a K Cortafuegos 
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PROGRAMA SEK. [REIT 


1. Ruteo en el protocolo IP 

Clasificación de cortafuegos 

Ruteadores y listas de control de acceso 

Filtraje de paquetes. NAT y enmascaramiento 
Arquitectura de cortafuegos 

Implementaciones de cortafuegos 

Cortafuegos y pruebas de penetración 

Pruebas de penetración con ISS, Nessus, SARA 


O E E 
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Fundamentos de TCP/IP 


TCP/IP (Transmission Control Protocol / Internet Protocol) 


— Un conjunto básico de protocolos usado para transportar 
tráfico en redes de cómputo. 


— Abarca las capas de red y de transporte del Modelo OSI 
Modelo TCP/IP Modelo de Referencia OS! 





Aplicación 
Aplicación Presentación 
sesión 
Transporte Transporte 
Datos 


Acceso a la Red — 
Fisica 
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Fundamentos de TCP/IP (cont.) SEK ZEIT 


La transferencia de la información se hace a través de paquetes 
de datos que son transmitidos de forma independiente en la red. 


Datos de usuano 
Aplicación 
Encabezado Datos de usuano 
de aplicación 
Transporte 


A O TCP Datos de aplicación 


Datagrama IP p H Encabezado Datos de aplicación 
IP TCP 
Acceso a la Red 
$i 


Marco Ethemet | Encabezado Encabezado Encabezado ee Ethemet 
i > 
Ethemet IP TCP Datos de aplicación trailer 
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Ruteo en el Protocolo IP 





External Gateway Protocol 


an 
Y y Protocol 





SD sw 
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Sistema Autónomo (AS) SEK. REIT 


e Un conjunto de redes IP bajo la responsabilidad 
administrativa y técnica de una sola entidad 


El AS recibe un número único que lo identifica y que es 
utilizado para intercambiar información de enrutamiento 
con otros sistemas autónomos 


Utiliza un Internal Gateway Protocol (IGP) para hacer 
ruteo en el interior, y un External Gateway Protocol (EGP) 
para enrutar paquetes a otros sistemas autónomos 
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Border Gateway Protocol (BGP) SEK. Ret 


e Un protocolo de ruteo entre AS (RFC 1771) 
e Classless Interdomain Routing (CIDR) 

— Permite anunciar prefijos 

— Elimina el uso de clases 

— Reduce el tamaño de las tablas de ruteo 


e Construido sobre TCP (puerto 149) 


e Transferencia incremental de rutas para reducir tráfico 
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Atributo NextHop 


e La dirección IP del siguiente ruteador que se usa para 


alcanzar el destino 
Router Dr “AS 400 


200.32.0.0/12 
AS 100 Router A 
Router D anuncia 200.32.0.0/12 a Router C 


17040.128.0/20 E 
a NextHop: 192.168.10.1 
AS 300 ) Router C anuncia 200.32.0.0/12 a Router B 
| NextHop: 172.16.20.1 


Router B anuncia 200.32.0.0/12 a Router A 
NextHop: 10.0.0.1 
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Router C 


172.16.20.2 
outer B 

















Atributo AS-PATH SEK. DRE 


e Una lista de números de AS que una ruta ha pasado para 
alcanzar un destino 


e Cuando un mensaje de actualización pasa a través de un 
nuevo AS, el número de dicho AS es añadido a la lista 


e Si el número de AS ya existe en la lista, la ruta es 
deshechada 


Diplomado en Seguridad Informática | Cortafuegos | O 2003 SekurelT, S.A. de C.V. 10.2003 | Página 1 





Ejemplo de AS-PA TH 
Router D- “AS 400 > 


eas y 

ÁS 100 Router A Router C Da ae 

17010.128.0/20 ES > | 
Cap 







Router A anuncia 170.10.128.0/20 a Router D 
AS-PATH: 100 


Router B anuncia 170.10.128.0/20 a Router D 
AS-PATH: 100 300 


Router C anuncia 170.10.128.0/20 a Router D 
AS-PATH: 100 300 200 


Diplomado en Seguridad Informática | Cortafuegos | O 2003 SekurelT, S.A. de C.V. 10.2003 | Página 1 


Selección de rutas usando BGP SEK. REIT 


Si la ruta especifica un NEXT-HOP inaccesible, desechar 
la ruta 


Preferir la ruta de mayor peso 

Si el peso es el mismo, elegir la ruta con mayor 
preferencia local 

Si la preferencia local es la misma, elegir la ruta de menor 
AS PATH 

Si la longitud de AS_ PATH es la misma, elegir la ruta cuya 
dirección IP sea menor (BGP Identifier) 
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Proceso de Ruteo SEK. REIT 


Rutas Estáticas 


e Control preciso sobre las rutas que los datos tomarán a 
través de la red 


e Facil de configurar en redes pequeñas 
e No hay tráfico de ruteo en la red 


e Los routers no ven impactado su desempeño por la 
necesidad de complejos cálculos 


Rutas dinámicas 


e Las tablas de ruteo se construyen con base en el estado 
de la red en el momento actual 

e La información sobre rutas es intercambiada entre los 
ruteadores de forma automática, utilizando protocolos de 
enrutamiento 
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Protocolos de enrutamiento 


Distance - Vector 


— Calculan la distancia a un segmento de red específico, asi 
como la dirección (o vector) requerido para alcanzarlo. 


— Algoritmo de Bellman-Ford 
e Cada enrutador pasa su tabla a sus vecinos cada 30 segs. 


El El 





EO E2 EO 


Router A Router B 


Tabla de Ruteo Tabla de Ruteo 
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E2 


Protocolos de enrutamiento SEK. REIT 


Distance - Vector 


— Algoritmo de Bellman-Ford (continuacion) 
e Al recibir una tabla de un vecino, cada enrutador calcula nuevas 
distancias: 
— Agrega uno al número de saltos recibido 


— Remplazar entradas para las cuales se tenga una nueva 
menor distancia 


— Agregar entradas nuevas 
— Cada entrada es asignada una estampa de tiempo 
— Remover entradas que han caducado 


— Remplazar entradas con el mismo next hop, pero con costo 
más alto 
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Ejemplo Distance-Vector SEK PET 


192.168.20.0 





EO 


A GS A eee 


192.168.0.0 192.168.10.0 192.168.30.0 192.168.40.0 





Paso 1 


Routing Table A Routing Table B Routing Table © Routing Table O 





192.1768.0.0 [FO 19216500 [EU 192.168.10.0 S0 192.168.30.0 20 0 
192.168.10.0 SO 192.168.20.0 EQ 192.168.40.0 51/0 
192.168.20.0 31 


Routing Table A 


192.168.0.0 |Fo|o 
E 





Routing Table E 


192 165.00 [Eb 
192.168.10.0 50 


aa ca 
192168530 0/S0| 1 


Routing Table © 
192.168.10.0 


SL) 

192. 165.20. 0) EQ 

192.168 30.0 =1 
1 


192.168 0.0 |20 
192 168 40 0 =1 


Routing Table DO 


192.1768 30. 0) S50) C 
192 166 40 0/517] € 


eee es 
aa ES 





















192168 10.0/F0|1 
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CONSULTORES ENW SEGURIDAD INFORMATICA 


Ejemplo Distance-Vector 





192.168.20.0 


EQ 


= 192.168.0.0 zx 192.168.10.0 192.168.30.0 192.168.40.0 





Routing Table B Routing Table © Routing Table O 


192 .168.10.0/S0 

10. 210. — 1192 168 20 .0/E0 
192 168 20. : i ; 192 1623 30 0151 
192.168 30. = 192.168.0.0 |50 


(192.168 40.0|50 | 192.168.40.0/51 


Routing Table E Routing Table © 


1927 166.70 0/50 
192.168.10.0 50 1921685. 20 0/E0 40. 
192.168. 20.0/ =S0 192. 166 30 0/517 192.165.10.0 50 
192.168.30.0 S0 192 168.00 [S0 192. 168.20 0/50 


ote B ; Sida 
192.168.40.0 F0|3 192.168 .40.0| 50 192.168 40.051 192.168.0.0 |SO 
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Protocolos Distance-Vector SEK. REIT 


RIP (Routing Information Protocol) 
— Utiliza el número de saltos como su métrica 
— Limitado a 15 saltos como máximo 


IGRP (Interior Gateway Routing Protocol) 
— Desarrollado por CISCO a mediados de los 80's 


— Utiliza una métrica combinada, generando un valor único 
compuesto a partir de: 
e Retraso 
e Ancho de banda 
e Confiabilidad 
e Carga 
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Protocolos de enrutamiento SEK. REIT 


Link-State 


— Usa una métrica que puede incluir número de saltos y ancho 
de banda para calcular la distancia 


— Usa multicast en lugar de broadcast para anunciar la actualización 
de las tablas de rutas 


— Cada ruteador envía LSAs (Link state advertisements) a la red, 
indicando los segmentos y ruteadores vecinos a los que esta 
conectado 


— Los ruteadores aceptan los mensajes y construyen la topología de 
red usando el algoritmo Shortest Path First 
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Protocolos Link-State SEK. REIT 


OSPF (Open Shortest Path First) RFC 1241 


— Todos los intercambios de datos estan autenticados 
e Contraseña simple 
e Hash (MD5) 


— Los intercambios de datos se hacen solo cuando ocurren cambios, o 
cada 45 minutos 


— Cálculo de costo de una interfaz Cisco: 


ancho de banda de referencia / ancho de banda configurado de la interfaz en kbps 
Costo OSPF = 100000 000 /34 000 = 2941 (E3) 


Cálculo de costo de una interfaz otros: 
2 x 10? / ancho de banda configurado de la interfaz en bps 
Costo OSPF = 2000000 000 / 100 000 000 = 20 (Fast Ethernet) 
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Ejemplo: OSPF SEK | EIT 





N13 
N12 NIS ag | 
ZN 
s, F ¿9 
y R5 
D E 
' A N12 
eg ¿ \y g 
RTM o 
i ~ N15 
| y 
1 y 
5) oM 0 Qu 
RTO- i! 
L \ 
R8 
SN 
: 4 
N7 








en? a 
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Ejemplo: OSPF (cont.) SEK REIT 


Tabla de Ruteo de R6 CO Ae 
Destino Next Hop Costo 
N1: R3 10 
N2: R3 10 
N3: R3 á 
N4: R3 8 
NO: R10 8 
N7: R10 12 
N12 R10 10 
R5: R10 6 


R12: R10 11 
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Protocolos “transportados” SEK REIT 





http://www.iana.org/assignments/protocol-numbers 


3 http: /Awww.iana.ore/assignments/protocol-numbers - Microsoft Internet Explorer Seles 


File Edit Wiew Favorites Tools Help 


Tin. | —, i 3 -a Fas A == 
€ Back * > E a A A | Search gr Favorites a Media €4) LA” da E 
Address Æ] http: jiw iana orgrassignments!pratacol-numbers | 


PROTOCOL NUMBERS 
[last updated 2003-01-13) 


In the Internet Protocol version 4 [IPyv4) [RFC?T91] there is a field, 
called "Protocol", to identify the next level protocol. This if an & 
hit field. In Internet Protocol version 6 [IPyv6) [RFC1663] this field 
is called the "Next Header” field. 


Assigned Internet Protocol Numbers 
Decimal Keyword Protocol References 


HOPOPT IPYó Hop-by-Hop Option [FRFC1583] 
ICMP Internet Control Message [RFC?TS2] 
IGHP Internet Group Management [RFC1112] 
GGP Gateway-to-Gateway [RFCS23] 
IP IP in IP (encapsulation) [RFC2¿003] 
ST Stream [(RF21190,EFc15819] 
TCP Transmission Control [RFCTS3] 
CET CET [Ballardie] 
EGP Exterior Gateway Protocol [RFC88S, DLMi] 
IGP any private interior gateway [IANA] 
fused by Cisco for their IGEF] 
EEN-ECC-MÓN BEN RCC Monitoring [SGC] 
NV¥VP-II Network Voice Protocol [RFC741,503] 
FUF PUF [FUF, ZEROZ] 
ARGOS ARGOS [RWS4] 
ENCOM ENCOM [ENT] 
EMET Cross Met Debugger [IEM158,JFH2] 
CHLOS Chaos [MCa] 
UDP User Datagram [RFC?66, JEF] 
MUZ Multiplexing [ IEN90, JBF] 
DCH-HEAS DCN Measurement Subsystems [DLM1] 
HMF Host Monitoring [EF 2069, RH6] 
PREM Packet Radio Measurement zal 


SD Internet 
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ICMP SEK REIT 


CONSULTORES EN vw: SEGURIDAD INFORMATICA 





Internet Control Message Protocol (RFC 792) 


— Un protocolo de soporte al protcolo IP, utilizado para notificar el 
estado del procesamiento de los datagramas. 


— Provee reatroalimentación sobre problemas en el entorno de 
comunicación. 


Numeric Type Symbolic Name Code Description 


El datagrama no puede ser entregado 
al host, puerto o red destino. 


3 Destination unreachable |0 Net unreachable 


1 Host unreachable 

2 Protocol unreachable 
3 Port unreachable 

4 Fragmentation needed 
5 Source route failed 
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ICMP (cont.) SEK REIT 





Numeric Type Symbolic Name Code Description 
El máximo número de saltos ha sido 
11 Time exceeded O TTL exceeded in transit ¡excedido y el paquete ha sido 
descartado 
1 Fragment reassembly 
time exceeded 





Numeric Type Symbolic Name Code Description 

Un gateway le indica al emisor que los 
datagramas están siendo recibidos más 
rápidamente de lo que pueden ser 
procesados. 


4 Source quench 





Numeric Type Symbolic Name Code Description 

Un mensaje devuelto al emisor cuando 
un gateway detecta una ruta mejor para 
el destino 


O Redirect datagrams for 


5 Redirect the network 


1 Redirect datagrams for 
the host 
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ICMP (cont.) SEK REIT 





Numeric Type Symbolic Name Code Description 
8 Echo request Solicitud de ping 





0 Echo reply Respuesta de ping 


Numeric Type Symbolic Name Code Description 


Se encontraron valores ¡inesperados en 
12 Parameter problem 


el encabezado del paquete IP 
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ICMP (cont.) SEK REIT 


PU 
O wr 











EEES 
Programa Cliente Servidor DNS 
Puerto 1026 Puerto 53 
Dirección 192.168.10.3 Dirección 200.23.23.23 
TTEN 
EEES 
Programa Cliente : Servidor DNS 
Puerto 1026 : Puerto 53 
Dirección 192.168.10.3 : Dirección 200.23.23.23 
Protocolo: ICMP 
Type:Code: 3:3 (Destination Unreachable:Port Unreachable) 
Origen: 200.23.23.23 
Destino: 192.168.10.3 
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UDP sel: REIT 


CONSULTORES EN W SEGURIDAD INFORMATICA 


User Datagram Protocol (RFC 768) 


— Un protocolo simple de la capa de transporte para el intercambio de 
datagramas sin control de flujo de tráfico y sin entrega garantizada. 


— Servicios y aplicaciones comunes que usan UDP 
e Traceroute 
e DHCP (Dynamic Host Configuration Protocol) 
e NTP (Network Time Protocol) 
e DNS (Domain Name Service) 
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UDP (cont) SEK REIT 


PU 
O wr 











— 

Local Time Client Time Server 
Puerto 1028 | Puerto 123 
Dirección 192.168.10.3 Dirección 200.23.23.23 

Protocolo: UDP 
IP:Puerto Origen: 192.168.10.3:1028 
IP:Puerto Destino: 200.23.23.23:123 
A, 
wb. : 

Local Time Client : Time Server 
Puerto 1028 l Puerto 123 
Dirección 192.168.10.3 Dirección 200.23.23.23 

Protocolo: UDP 
IP:Puerto Origen: 200.23.23.23:123 
IP:Puerto Destino: 192.168.10.3:1028 
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CONSULTORES EN W SEGURIDAD INFORMATICA 


TCP sel! (REIT 


Transmission Control Protocol (RFC 793) 


— Un protocolo de la capa de transporte para el intercambio de 
paquetes con control de flujo de tráfico. 


— Proporciona una transmisión confiable en ambos sentidos. 


— Características del protocolo TCP 
e Números de secuencia 


e Banderas de estado 
— SYN 
— ACK 
— FIN 
— PSH 
— Rol 
— URG 
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TCP (Cont. SEK EIT 





1. Petición de inicio de conexión de un cliente 





Dirección 192.168.10.3 Dirección 200.21.23. 33 


¿EA 
Navegador web i Servidor web 
Puerto 1400 i Puerto 80 


Protocolo: TCP 

Origen: 192.168.10.3 

Puerto Origen: 1400 

Destino: 200.21.23.33 

Puerto Destino: 80 (http) 

Indicadores: SYN (petición de sincronización de conexión) 


~ 
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TCP (Cont. SEK | EIT 





2. Confirmación de petición de conexión por parte del Servidor 


ESS 


Navegador web 
Puerto 1400 
Dirección 192.168.10.3 





Servidor web 
Puerto 80 
Dirección 200.21.23. 33 


Protocolo: TCP 

Origen: 200.21.23.33 

Puerto Origen: 80 (http) 

Destino: 192.168.10.3 

Puerto Destino: 1400 

Indicadores: ACK (confirmación de sincronización) 


SYN (petición de sincronización de conexión) 
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TCP (Cont. SEK EIT 





3. Establecimiento de la conexión 





Dirección 192.168.10.3 Dirección 200.21.23. 33 


¿EA 
Navegador web i Servidor web 
Puerto 1400 i Puerto 80 


Protocolo: TCP 

Origen: 192.168.10.3 

Puerto Origen: 1400 

Destino: 200.21.23.33 

Puerto Destino: 80 (http) 
Indicadores: ACK (confirmación) 





























Diplomado en Seguridad Informática | Cortafuegos | O 2003 SekurelT, S.A. de C.V. 10.2003 | Página 1 





TCP (Cont. SEK EIT 





3. Conexión en marcha 


EES 


Navegador web 
Puerto 1400 
Dirección 192.168.10.3 





Servidor web 
Puerto 80 
Dirección 200.21.23. 33 


Protocolo: TCP 

Origen: 200.21.23.33 

Puerto Origen: 80 (http) 

Destino: 192.168.10.3 

Puerto Destino: 1400 

Indicadores: ACK (confirmación) 


== 
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Recursos 


e GNU Zebra 
Software de ruteo para BGP-4, RIPv1, RIPv2 y OSPFv2 
e www.zebra.org 


e IP, RFC 791 
ftp://ftp.rfc-editor.org/in-notes/rfc791.txt 


e ICMP, RFC 792 
ftp://ftp.rfc-editor.org/in-notes/rfc792. txt 


e UDP, RFC 768 
ftp://ftp.rfc-editor.org/in-notes/rfc 768. txt 
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Recursos 


e TCP, RFC 793 
ftp://ftp.rfc-editor.org/in-notes/rfc793.txt 


Diplomado en Seguridad Informática | Cortafuegos | © 2003 SekurelT, S.A. de C.V. 10.2003 | Página 1 


ee 
SEK REIT 


CONSULTORES ENW SEGURIDAD INFORMATICA 
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Cortafuegos 


Perímetro de 


e a Seguridad 


10.1.0.0/24 


Interior 


| 


10.1.15.0/24 








¡Cortafuegos 
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CONSULTORES EN há SEGURIDAD INFORMATICA 


et en, 


Exterior 


10.2003 | Página 1 


Clasificación de cortafuegos SEK. [REIT 


¢ Cortafuegos de filtraje de paquetes 
e Cortafuegos de estados 

e Proxy 

e Cortafuegos de nivel de circuito 


— Políticas de cortafuegos 


a)Desechar o rechazar todo el tráfico, excepto lo que esté 
explicitamente permitido 


b)Permitir todo el tráfico, excepto lo que está explícitamente 
rechazado o desechado 
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Cortafuegos de filtraje de paquetes SEK) 2EIT 


e El más simple y más antiguo 

e Examina los encabezados de cada paquete y con base en 
un conjunto de reglas, decide si el paquete es aceptado y 
reenviado a su destino, o bien, si el paquete es desechado 
o rechazado. 


e Las reglas pueden estar basadas en: 
— Dirección de origen (IP individual o rango de lps) 
— Dirección destino del paquete 
— Protocolo de transporte (TCP, UDP, ICMP, ...) 
— Puerto de origen 
— Puerto destino 
— El sentido del paquete (entrante o saliente) 
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Cortafuegos de filtraje de paquetes SEK REIT 


Reglas de 
filtraje 







Encabezado 
a] 


Interfaz UT ATT Aplicar Ą------- \ ee 


Interna H | Paquete reglas H | Paquete niena 


Externa 


Reenviarlo 


y 
Si pasa X 


TH | Paquete | Desecharlo 


si falla 
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ACLs (Access Control Lists) SEK | EIT. 


SEGURIDAD INFORMATICA 





RUTEADOR UNO 


¿COINCIDE CON REGLA? 
PAQUETE = YES 
ENTRANTE DESECHAR ce 
¿COINCIDE CON REGLA? oe 
NO 


5 
id PERMITIR 
¿COINCIDE CON REGLA? 
TES 
NO 
DESECHAR PAQUETE 


PERMITIR EAO FIE 
¿COINCIDE CON REGLA? 
ES 
MO 
sii RECHAZAR TODO PERMITIR 
POR OMISION 






DESCARTAR 
PAQUETE 
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Wildcard Mask SEK EIT 


— Una máscara de 32 bits utilizada en ACLs para determinar si un 
paquete coincide o no con una regla determinada. 


— Reglas de bits de la wildcard mask: 


e Si el bit de la wildcard mask es 0, al determinar la coincidencia, 
considerar el bit correspondiente de la dirección IP. 


e Si el bit de la wildcard mask es 1, al determinar la coincidencia, 
no considerar el bit correspondiente de la dirección IP. 
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Wildcard Mask (cont.) SEK Er 


CONSULTORES EN W SEGURIDAD INFORMATICA 


— Ejemplos: 


e ¿ Wildcard mask requerida para hacer match en el host 
específico 10.15.10.87 ? 0.0.0.0 


e ¿ Wildcard mask requerida para hacer match a toda la red 
10.15.10.0 / 255.255.255.0 ? 0.0.0.255 


e ¿ Wildcard mask requerida para hacer match a toda la red 
10.15.10.32 / 255.255.255.224 ? 0.0.0.31 
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Wildcard Mask (cont.) SEK. ¡Rem 


— Ejercicios: 


e Determine la Wildcard mask requerida para hacer match en el 
host específico 192.168.27.93 


e Determine la Wildcard mask requerida para hacer match a toda 
la red 10.12.24.0/ 255.255.248.0 


e Determine la Wildcard mask requerida para hacer match a toda 
la red 172.16.32.176 / 255.255.255.240 


e Determine la Wildcard mask requerida para hacer match a toda 
la red 172.16.0.0 / 255.255.0.0 
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Standard ACLs SEK _ REIT 





— Permiten control de acceso verificando la dirección de origen del 
paquete recibido por el ruteador 


Formato: 
Router(config)# access-list access-list-number {permit|deny} source source-wildcard-mask 


access-list El comando utilizado para crear la ACL 

access-list-number El identificador de la ACL. Para ACLs estándar el valor es entre 1 y 99 
permit|deny Permitir o bloquear el acceso 

source La dirección de origen a verificar 

source-wildcard-mask La wildcard mask utilizada para verificar la coincidencia de la 


dirección de origen 
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Extended ACLs 





— Permiten control de acceso verificando la dirección de origen y la dirección 
destino del paquete recibido por el ruteador. Adicionalmente, puede 
verificarse protocolo, números de puerto origen y destino. 


access-list access-list-number {permit|deny} protocol source source-wildcard-mask 
[operator operand] destination destination-wildcard-mask [operator operand] 


access-list El comando utilizado para crear la ACL 
access-list-number El identificador de la ACL. Para ACLs extendidas: 100 a 199 
permit|deny Permitir o bloquear el acceso 

protocol Protocolo a verificar (tcp, udp, icmp, 50, 51, ...) 

source La dirección de origen a verificar 


source-wildcard-mask La wildcard utilizada para verificar la coincidencia del origen 
destination La dirección destino a verificar 

destination-wildcard-mask La wildcard utilizada para verificar la coincidencia del destino 
operator operand GT (mayor que), LT (menor que), EQ (igual a), NEQ (diferente a). 
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Ejemplos Standard ACLs 














192.168.20.1 
m! 192.168.10.7 
Ñ a 
192.168.20.0 / 24 192.168.10.0 / 24 


Impedir que el host 192.168.10.7 pueda conectarse a otras redes diferentes a la suya 


Router(config)# access-list 23 deny 192.168.10.7 0.0.0.0 
Router(config)# access-list 23 permit 0.0.0.0 255.255.255.255 
Router(config)# interface e0 

Router(config-if)# ip access-group 23 in 


Diplomado en Seguridad Informatica | Cortafuegos | © 2003 SekurelT, S.A. de C.V. 10.2003 | Pagina 1 


Ejemplos Standard ACLs sele. LEN 











192.168.20.1 
m! 192.168.10.7 
Ñ a 
192.168.20.0 / 24 192.168.10.0 / 24 


Impedir que el host 192.168.10.7 y la red 192.168.20.0/24 tengan acceso a Internet 


Router(config)# access-list 45 deny 192.168.10.7 0.0.0.0 
Router(config)# access-list 45 deny 192.168.20.0 0.0.0.255 
Router(config)# access-list 45 permit 0.0.0.0 255.255.255.255 
Router(config)# interface s0 

Router(config-if)# ip access-group 45 out 


Diplomado en Seguridad Informatica | Cortafuegos | © 2003 SekurelT, S.A. de C.V. 10.2003 | Pagina 1 





Ejemplos Extended ACLs 





192.168.20.1 


A 








192.168.10.7 


192.168.20.0 / 24 192.168.10.0 / 24 





El 


Permitir que solamente el host 192.168.20.16 pueda establecer conexiones de SSH 
hacia hosts en el Internet, 


Router(config)# access-list 115 permit tcp 192.168.20.16 0.0.0.0 0.0.0.0 255.255.255.255 eq 
22 


Router(config)# access-list 115 deny tcp 192.168.0.0 0.0.255.255 any eq 22 
Router(config)# access-list 115 permit ip any any 
Router(config)# interface s0 


Router(contig-if)# ip access-qroup 8 
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Ejemplos Extended ACLs 














192.168.20.1 
m! 192.168.10.7 
Ñ a 
192.168.20.0 / 24 192.168.10.0 / 24 


Permitir que solamente se acepte el tráfico TCP y UDP proveniente del Internet, cuyas 
sesiones hayan sido iniciado por clientes de las redes internas. 


Router(config)# access-list 157 permit tcp any It 1024 any gt 1023 
Router(config)# access-list 157 permit udp any It 1024 any gt 1023 
Router(config)# interface s0 

Router(config-if)# ip access-group 157 in 
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Ejercicios ACLs SEK ZEIT 









154.187.215.0 / 24 200.187.21.96 / 27 


HB — 


R_UNO 


154.187.215.75 200.187.21.99 


m 124.156.17.0 / 24 


124.156.17.63 


Impida que el host 200.187.21.99 pueda iniciar sesiones web hacia el Internet, aun 
cuando pueda hacerlo para el resto de la red. 


Permita que sólo 154.187.215.75 pueda establecer conexiones de SSH a cualquier red. 
Ningún otro host podrá iniciar una sesión de SSH fuera de su segmento de red. 
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SEGURIDAD INFORMATICA 


Ventajas / Desventajas SEK. [REIT 


Ventajas: 
e Bajo impacto en performance 
e Bajo costo (incluidas en los ruteadores) 


Desventajas 


e Sólo examinan encabezados de capas de red y 
transporte, no hay verificación de contenido. 


e Difíciles de manejar en entornos complejos 
e Vulnerables a ataques de spoofing 
e No ofrecen autenticación de usuarios 
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Cortafuegos de estados SEK REIT 


Un cortafuegos de estados registra el estado de las 
conexiones en la capa de transporte conforme los 
paquetes pasan a través de él. 


e La decisión de permitir o negar el acceso se toma con 
base en: 


Si el paquete es parte de una conversación previamente 
iniciada, el acceso es permitido. 


— En caso contrario, se evalua un conjunto de reglas similar al 
de un cortafuegos de filtraje de paquetes para determinar la 
acción correspondiente. 
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Cortafuegos de estados (cont.) SEK EIT 
al 


ee 
{T Sa 
nh Tati 








= 


fair Ens, 





Cliente Servidor Web Atacante 
IP 10.0.10.150 





192 168.10.1 (een 


Iniciar conexión a 192 1638 10 1:50 
Origen 10.0.10.130: 2150 


Registrar conexión iniciada 
de 10.0.10.150:2150 
a 192 165.10. 1:50 


Iniciar conexión a 192 163 10.71:50 
Origen 10.0.10.150: 21730 


Responder a 10.0.10.150: 2150 
Responder a 10.0.10.150:2150 


verificar Registro 
iExiste conexión iniciada 
de 100.710 1902150 


a 192. 1653.10.1:50% 
Si, permitir paquete 





Responder a 10.0.10.150:2150 


verificar Registro 
¡Existe conexión iniciada 
de 100.10 19002150 


a 112188315280 
Mo, rechazar paquete 
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Proyecto Netfilter (www.netfilter.org) 


— Antecedentes: [PFW e IPCHAINS 
— Actualmente: IPTABLES 


— Chain: Un conjunto de reglas de filtraje que definen los 
paquetes que serán aceptados, desechados o rechazados. 


— Se conocen como cadenas porque cada paquete es evaluado 
contra cada regla en el conjunto en busca de una 
coincidencia, una por una, hasta que se encuentra dicha 
coincidencia o hasta que la lista es evaluada por completo. 
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IPTABLES SEK | EIT. 


_, Forward 

T 
Input p—s Output 
EE k~ ii 


aw Gm 
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CONSULTORES EN W SEGURIDAD INFORMATICA 


IPTABLES (cont.) SEK. (REIT 
Administración de Cadenas 


iptables comando parámetros [opciones] 


-N chain Crea una nueva cadena de nombre chain 


-X [chain] Borra una cadena de nombre chain, o todas las 
cadenas si no se especifica alguna 


-L [-v] [chain] Lista las reglas de la cadena chain, o de todas las 
cadenas si no se especifica alguna 


-P chain policy Establece la politica por default para las cadena 
preestablecida chain: ACCEPT o DROP 


-F [chain] Borra todas las reglas de la cadena chain, o de todas 
las cadenas, si no se especifica alguna 
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IPTABLES (cont.) SEK REIT 


Administracion de Reglas 


iptables comando parámetros [opciones] 


-A chain rule Agregar la regla rule al final de la cadena chain 
-I chain rule Inserta la regla rule al inicio de la cadena chain 


-D chain rule-number Borra la cadena en la posición rule-number 
dentro de la cadena chain 
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IPTABLES (cont.) SEK REIT 


Creacion de Reglas 

-S [!] source-address [/mask] Especifica el host o red de origen del paquete 

-d [!] dest-address [/mask] Especifica el host o red destino del paquete 
-p [!] protocol El protocolo al que la regla aplica: tcp, udp, icmp, all 


-| [!] interface Para paquetes entrantes de las cadenas FORWARD o 
INPUT, especifica el nombre de la interfaz para la que la 
regla aplica 


-O [!] interface Para paquetes salientes de las cadenas FORWARD o 
OUTPUT, especifica el nombre de la interfaz para la que 
la regla aplica 


-j target Especifica la disposicion del paquete en el caso de que haga 
match con la regla: ACCEPT, DROP, REJECT, 
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IPTABLES (cont.) SEK REIT 


Reglas TCP 

--sport [!] port [:port] Especifica el puerto o el rango de puertos de origen 
--dport [!] port [:port] Especifica el puerto o el rango de puertos destino 
[!] --syn La bandera SYN debe estar establecida 


-- tcp-flags [!] mask set Los bits de mask son verificados. Para que exista una 
coincidencia, exactamente los bits set deben estar 
establecidos. 


Valores posibles: ALL, NONE, SYN, ACK, RST, FIN, PSH, URG 
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IPTABLES (cont.) SEK REIT 


Reglas UDP 


--sport [!] port [:port] Especifica el puerto o el rango de puertos de origen 


--dport [!] port [:port] Especifica el puerto o el rango de puertos destino 


Reglas ICMP 


--icmp-type [!] type Especifica el nombre o número del mensaje ICMP 


Extensiones 


-į LOG Registrar en la bitácora la regla que hace coincidencia 


-| REJECT Rechazar el mensaje que hace concidencia 
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IPTABLES (cont.) sele REIT 
Estados 


-m state --state estado [,estado] 
Verificar la coincidencia con alguno de los estados listados 
Los estados permitidos: NEW, ESTABLISHED, RELATED, INVALID 


NEW 
e Equivalente a la solicitud de inicio de sesión TCP SYN; al primer 
paquete UDP; o al envio de un paquete IC MP echo-request 


ESTABLISHED 
e Se refiere a los subsecuente mensajes TCP ACK después de que la 
sesión es iniciada; a los subsecuentes mensajes UDP 
intercambiados entre los mismos hosts y puertos; y a los mensajes 
ICMP echo-reply enviados en respuesta a un echo-request previo 
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IPTABLES (cont.) SEK REIT 


Estados 








RELATED 


e Se refiere a mensajes de error ICMP, en respuesta a una sesión UDP 
o TCP iniciada previamente 


INVALID 


e Mensajes de error ICMP, paquetes TCP o UDP que son recibidos sin 
un inicio de sesión previo 
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Ejemplo de un cortafuegos de estados SEK REIT 














192.168.15.70 a _—— 10.0.20.33 
192.168.15.60 g— = 
eth1 
10.0.20.74 
=F 192.168.15.254 10.0.20.254 
192.168.15.25 
DNS Server 
10.0.20.0 / 24 


192.168.15.0 / 24 
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Ejemplo de un cortafuegos de estados -2 SEK EIT 


— Desarrollar el conjunto de reglas del cortafuegos de estados del 
diagrama, para obtener el siguiente comportamiento: 


Permitir ping en ambos sentidos entre los host de las redes 
10.0.20.0/24 y 192.168.15.0/24 


Permitir ping hacia el cortafuegos desde ambas redes 

Permitir a los hosts de la red 10.0.20.0/24 establecer conexiones a 
servicios de SSH y Web residentes en las redes 192.168.15.0/24 
Permitir administrar el cortafuegos vía SSH desde la red 
10.0.20.0/24 

Permitir que la red 10.0.20.0/24 y el cortafuegos consulten el 
servidor DNS en 192.168.15.25 
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Ejemplo de un cortafuegos de estados -3 SEK EIT 


HHacer flush de las cadenas existentes 


iptables -F 


#Permitir trafico en interfaz loopback 
iptables -A INPUT -i lo -¡ ACCEPT 
iptables -A OUTPUT -o lo -j ACCEPT 


#Establecer políticas por default (desechar todo) 
iptables -P INPUT DROP 

iptables -P OUTPUT DROP 

iptables -P FORWARD DROP 
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Ejemplo de un cortafuegos de estados -4 SEK EIT 


#Permitir el paso de conexiones preestablecidas 

iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT 
iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT 
iptables -A FORWARD -m state --state ESTABLISHED, RELATED -j ACCEPT 


#Registrar en bitacora paquetes de conexiones no validas 
iptables -A INPUT -m state --state INVALID -j LOG 
iptables -A OUTPUT -m state --state INVALID -j LOG 
iptables -A FORWARD -m state --state INVALID -j LOG 


#Permitir ping entre ambas redes 

iptables -A FORWARD -i eth0 -o eth1 -p icmp 1 
--icmp-type 8 -s 10.0.20.0/24 | 
-m State --state NEW -j ACCEPT 
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iptables -A FORWARD -i eth1 -o eth0 -p icmp 1 
--icmp-type 8 -s 192.168.15.0/24 | 
-m State --state NEW -j ACCEPT 


#Permitir ping al cortafuegos desde ambas redes 
iptables -A INPUT -i eth0 -p icmp | 
--icmp-type 8 -s 10.0.20.0/24 | 
-m State --state NEW -j ACCEPT 


iptables -A INPUT -i eth1 -p icmp | 


--icmp-type 8 -s 192.168.15.0/24 | 
-m State --state NEW -j ACCEPT 
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Ejemplo de un cortafuegos de estados -6 SEK EIT 


#Permitir a los host en 10.0.20.0/24 establecer conexiones SSH y WEB hacia 192.168.15.0/24 
iptables -A FORWARD -i eth0 -o eth1 -p tcp 1 

-S 10.0.20.0/24 --sport 1024:65535 | 

-d 192.168.15.0/24 --dport 22 | 

-m State --state NEW -j ACCEPT 


iptables -A FORWARD -i eth0 -o eth1 -p tcp | 
-S 10.0.20.0/24 --sport 1024:65535 | 
-d 192.168.15.0/24 --dport 80 | 
-m State --state NEW -j ACCEPT 


#Permitir administrar el cortafuegos vía SSH, desde la red 10.0.20.0/24 
iptables -A INPUT -i eth0 -p tcp | 

-S 10.0.20.0/24 --sport 1024:65535 | 

-d 10.0.20.254 --dport 22 1 

-m State --state NEW -j ACCEPT 
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#Permitir a la red 10.0.20.0/24 y al Firewall, consultar al servidor DNS en 192.168.15.25, 
iptables -A FORWARD -i eth0 -o eth1 -p udp | 

-S 10.0.20.0/24 --sport 1024:65535 | 

-d 192.168.15.25 --dport 53 1 

-m state --state NEW -j ACCEPT 


iptables -A OUTPUT -o eth1 -p udp | 
-S 192.168.15.254 --sport 1024:65535 | 
-d 192.168.15.25 --dport 53 1 
-m state --state NEW -j ACCEPT 
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Cortafuegos de estados: Ejercicio SEK EIT 

















> A 
200.23.20.7 
192.168.15.254 
sa 110.0.20.18 
POP a 
ethi T 
200.23.20.9 T 
HTTP EE — Os 110.0.20.77 
HTTPS a a 
LA 
200.23.20.11 
DNS Server J 110.0.20.0 / 24 


200.23.20.0 / 24 
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Cortafuegos de estados: Ejercicio SEK. DREN 


— Generar las reglas necesarias para establecer el siguiente 
comportamiento 


e Los hosts de la red 110.0.20.0/24 tienen acceso a los servicios 
especificos de SMTP, POP, HTTP, HTTPS y DNS de la red 
200.23.20.0/24 


e El cortafuegos tiene acceso a los servicios específicos de SMTP, 
POP y DNS en los equipos de la red 200.23.20.0/24 


e Cualquier equipo de la red 200.23.20.0/24 puede hacer ping al 
cortafuegos 


e Los hosts de la red 110.0.20.0 tienen acceso a los servicios SMTP, 
POP, HTTP, DNS, SSH en la Internet. Adicionalmente, pueden hacer 
ping hacia cualquier destino en la Internet 


e El resto de los servicios será rechazado 
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NAT (Network Address Translation) SEK. REIT 


— Una tecnología utilizada para sustituir una dirección IP, ya sea de origen 
o destino, con otra dirección en el encabezado del del paquete IP. 


— Presentado en 1994 (RFC 1631) como una propuesta para el 
agotamiento de direcciones Ipv4. 


e Source NAT 
— Static. El mapeo de las direcciones de la red interna se hace 
sobre una sola dirección pública. 
— Dynamic. Las direcciones internas son mapeadas a un 
conjunto de direcciones públicas disponibles (uno a uno). 


e Destination NAT 
— Utilizado para establecer redirección de servicios a otros hosts 
y puertos de la red interna 
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CONSULTORES EN há SEGURIDAD INFORMATICA 


NAT (cont.) SEK EIT. 





Destination Source 
E) > (E 
Pre-routing all Post-routing 
| Desechar 


Input __,| Output 
Chain | 7 Locales Chain 
' f 
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CONSULTORES EN W SEGURIDAD INFORMATICA 


NAT (cont.) SEK ¿RENT 


— Source NAT 


iptables -t nat -A POSTROUTING -o external-interface ... Y 
-| SNAT --to-source external-address[-external-address] 


iptables -t nat -A POSTROUTING -o external-interface ... | 
-] MASQUERADE 


— Destination NAT 


iptables -t nat -A PREROUTING -i external-interface ... | 
-| DNAT --to-destination internal-address 
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Source NAT: Ejemplo SEK REIT 





172.16.50.27 


4 


172.16.50.67 











A p 172.16.50.0, /,24 
— Los hosts de la red interna tienen acceso al Internet, usando Source 


NAT, a los servicios HTTP y DNS. Adicionalmente pueden hacer ping al 
exterior. 


— El cortafuegos ofrece servicio web a las redes interna y externa. 
Adicionalmente, es servidor de correo para el dominio local. 


— El resto de los servicios está bloqueado. 
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Source NAT: Ejemplo 


#Hacer flush de las cadenas existentes 
iptables -F 
iptables -t nat -F 


#Establecer políticas por default (desechar todo) 
iptables -t nat -P POSTROUTING DROP 


#Hacer NAT al tráfico saliente 
iptables -t nat -A POSTROUTING -o eth1 
-j SNAT --to-source 200.23.12.16 


#Reglas de las cadenas INPUT, OUTPUT y FORWARD necesarias 
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Destination NAT: Ejemplos SEK. Í REIT 
#Redirigir el tráfico entrante a 200.23.12.16 hacia el equipo interno 172.16.50.27 
iptables -t nat -A PREROUTING -i eth1 \ 

-S 0.0.0.0 / 0 -d 200.23.12.16 \ 

-| DNAT --to-destination 172.16.50.27 


#Redirigir el tráfico entrante al puerto SMTP de 200.23.50.28, hacia el equipo interno 
10.12.10.67 


iptables -t nat -A PREROUTING -i eth1 -p tcp \ 
--Sport 1024:65535 -d 200.23.50.28 --dport 25 \ 
-j DNAT --to-destination 10.12.10.67 


iptables -A FORWARD -i eth1 -o eth0 -p tcp | 


--sport 1024:65535 -d 10.12.10.67 --dport 25 | 
-m State --state NEW -j ACCEPT 
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Cortafuegos proxy SEK. (REIT 


— También conocido como Application gateway, proxy gateway o proxy 
server. 


e Provee un mayor nivel de seguridad que el de un filtro de paquetes 
ya que es posible tomar decisiones con base en la información de la 
capa de aplicación de los paquetes. 


e Un cortafuegos proxy provee los siguientes beneficios 
— Invisibilidad de los clientes 
— Filtraje de contenido 


— Un punto único para el monitoreo de actividad y registro de 
bitácoras. 


e Inicialmente utilizados para almacenar en caché las páginas web 
más utilizadas, con objeto de mejorar la velocidad de navegación en 
el Internet. 
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Cortafuegos proxy (cont.) SEK. Í REIT 


e Problemas de un cortafuegos proxy 


— Un punto de falla único 
— Un proxy para cada servicio 
— Configuraciones por default 


Cortafuegos de nivel de circuito 
— Una variante del cortafuegos proxy 
— El cortafuegos establece la conexión al destino final, pero las 
decisiones no están basadas en la información del nivel de 
aplicación. 
— El tráfico es transmitido por el cortafuegos sin alguna clase de 
análisis del contenido. 
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Cortafuegos proxy (cont.) SEK EIT 





Cortafuegos Servidor |} 
Web |? = 





Cliente 


IF:140.0.10.150 [P1 72.168.54.10 





IP:10.0.10.140 P:192. 168.27 .23 


Solicitud de Web Page 


Dest IP: 172. 168.54 10 l — 
Src IP:10.0.10.150_| : | Recibe Solicitud, |] Solicitud de Web Page 
verifica URL Dest IF: 172.168.554 10 


Sre |F: 19? 166.27 23 





Entrega de pagina Entrega de pagina 
Dest |F:10.0.10.150 | | l F Dest: IF: 1927 1635.27 23 
Sre (A: 10.0.10.140 i Sre E 172.168.54.10 
verifica Contenido 
Servicio | 
| Proxy | 
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Arquitectura de Cortafuegos SEK VEIT 


Dual-Homed Gateway 
e Un host con dos interfaces de red, una al exterior y una a la red 
interior protegida. 
e IP Forwarding deshabilitado, con lo cual se bloquea completamente 
el tráfico IP. 
e Ofrece servicios de proxy para el tráfico requerido 





4 >> 
— | Internet ` 
Application Application 
Gateway | traffic 
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Screened Host Gateway 
e Combina un filtro de paquetes con un application gateway 
e Todo el tráfico de aplicación pasa por el proxy 
e Otro tráfico “confiable” viaja por el ruteador 






Internet ` 


Packet 
Filter 
| Application 
traffic 
A Other trusted 
Gatew ay int > 


traffic 
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Arquitectura de Cortafuegos (cont.) SEK 2EIT 


Screened Subnet Firewall 
e Una variante de los esquemas anteriores 


e La Screened Subnet forma una Zona Desmilitarizada (DMZ), una 
estructura separada de la red interna a la cual se tiene acceso 
desde el exterior, sin exponer la segurida de la red interna. 










E-mail 
Server 
Packet Packet 
Filter Filter 
> EA | 0 Internet 
Application Application 
Gateway | | traffic 
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Microsoft ISA Server SEK. REIT 


Internet Security and Acceleration Server 
e Originalmente Microsoft Proxy Server 2.0 
— Alertas y bitacoras pobres 
— Carencia de capacidad de monitoreo en tiempo real 
— Retirado del mercado en marzo de 2001 


e Completamente ligado a Windows, no opera en otros sistemas 
operativos 


e Utiliza AD para sincronizar políticas entre los miembros de un 
arreglo de ISA Servers 
e Incorpora: 
— Filtraje de paquetes en las capas de red y de transporte 
— Filtros de aplicación 
— NAT 
— Características limitadas de detección de intrusos 
— Plantillas de seguridad 
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Microsoft ISA Server (cont.) SEK ZEIT 





p 


— Dios” 
(Internet y 
Mina a a 













Servicio Filtra 
Web Proxy Web a 





= 


Cliente 
Web Proxy 


NAT 
driver 


lente 
SecureNat 


Filtra 
de terceras 
Streaming 
filter 
Filtro 
Shel TP 
Filtra 
H. 323 
Filtra 
FIP 


Servicio 
Firewall 







Cliente 
Firewall 





Red de Area 
Local 





Filtraje de paquetes 
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Tipos de clientes de ISA Server SEK. REINT 


Firewall Client 
e Software disponible para plataformas Windows 95 a XP 


e Permite aplicar políticas de acceso con base en autenticación de 
usuarios y no con base en direcciones IP 


e Soporte para aplicaciones Winsocks 


Secure NAT Client 


e No requieren software de Firewall Client instalado 


e No soportan autenticación de usuario, el control de acceso se hace 
por dirección IP 


e Utilizan como default gateway la LAN IP del ISA Server 


Web Proxy Client 


e Usan un navegador web configurado para utilizar el servicio web 
proxy del ISA Server (usualmente en el puerto 8080) 


e Soporta autenticación de usuarios 
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Servicios de ISA Server SEK. REIT 


Firewall Service 


e Atiende las solicitudes de acceso de Secure NAT Clients y de 
Firewall Clients 


e Atiende la mayoría de los protocolos de nivel de aplicación 


Web Proxy Service 
e Atiende las solicitudes de acceso de cualquier navegador web 
(configurado para ello) para los protocolos: 
— FTP 
— HTTP 
— HTTPS 
— GOPHER 
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Modos de configuración de ISA Server SEK. DREN 


Firewall Mode 


e Permite asegurar las comunicaciones mediante la configuración de 
reglas para la comunicación entre la red local y el internet. 


e Permite publicar servidores internos, permitiendo el acceso de 
clientes externos a los servicios necesarios. 


Cache Mode 


e Permite mejorar la utilización del ancho de banda y el rendimiento 
del acceso hacia Internet, para los clientes locales, almacenando 
localmente los objetos mayormente utilizados. 


Integrated Mode 


e Permite utilizar las caracteristicas de ambos modos de 
configuración 
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Niveles de seguridad de ISA Server SEK. (REIT 


Dedicated 


e Apropiado cuando el ISA Server está funcionando como 
cortafuegos completamente dedicado, sin alguna otra aplicación 
Interactiva. 


+ Este es el nivel recomendado 


Limited Services 


e Apropiado cuando el servidor está operando en Integrated Mode, o 
bien es además un controlador de dominio. 


e Se sugiere proteger este cortafuegos con un cortafuegos adicional. 


Secure 


e Se trata de una postura menos restrictiva. Permite la instalación de 
otros servicios en el ISA Server, tales como IIS, SMTP Server, 
servicios de bases de datos. 


e No es recomendable 
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ISA Server Rules SEK. {REIT 


Permiten cumplir las necesidades específicas de control de 
acceso de la organización 


e Cuando un cliente interno solicita un objeto de Internet, ISA Server 
procesa las reglas para deteminar si la solicitud es permitida. 


e De igual forma, cuando un cliente externo (Internet) solicita un 
objeto de un servidor interno, ISA Server evalúa las reglas para 
determinar si la solicitud es permitida 


Tipos de Reglas 


e Access policy rules 
— Protocol Rules 
— Site and content rules 


e Packet filtering 
e Publishing policy rules 
e Bandwidth rules 
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Access Policy Rules sele. TRET 


Protocol rules 


e Definen qué protocolos de nivel de aplicación pueden set utilizados 
para establecer comunicación entre la red local y el Internet. 


e Sólo consideran el origen y el protocolo de nivel de aplicación, no 
incluyen la capacidad de definir un destino. 


Site and content rules 


e Definen qué contenido web en qué sitios puede ser accedido por 
clientes detrás del ISA Server. 


e Permiten especificar origen y destino de la conexión, pero sólo son 
aplicables a solicitudes web. 


e Son evaluadas en el nivel de aplicación. 


— Política de Access Policy Rules 


e Una solicitud de acceso será permitida, sólo si existe una Protocol 
rule que permita el acceso explícitamente y existe también una Site 
and content rule que permita el accceso explícitamente. 
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Packet Filtering SEK REIT 


Filtraje de paquetes 


e Permiten controlar el flujo de paquetes IP con base en la 
información contenida en el encabezado de los paquetes 


e Al habilitar el filtraje de paquetes, todos los paquetes entrantes son 
desechados, a menos que sean permitidos explícitamente, ya sea 
por una regla de filtraje de paquetes (estáticamente), o bien por una 
Access policy rule o una Publishing rule (dinámicamente). 


Se usa filtraje de paquetes para: 
e Publicar servidores existentes en una DMZ 
e Permitir la comunicación entre la LAN y una DMZ 


e Interceptar paquetes destinados a equipos o redes especificas con 
objeto de permitir o bloquear el acceso. 


Diplomado en Seguridad Informática | Cortafuegos | O 2003 SekurelT, S.A. de C.V. 10.2003 | Página 1 


Publishing Policy Rules sele REIT 


Server Publishing 


e Permite publicar servidores internos hacia el Internet 


e Filtran las solicitudes entrantes mapeándolas al servidor apropiado 
detrás del ISA Server 


e La dirección que ven los clientes externos es realmente una 
dirección IP de la interfaz externa del ISA Server 


e El servidor interno debe ser un Secure NAT Client 
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Bandwidth Rules SEK. REIT 


Bandwidth rules 


e Determinan qué conexiones tienen prioridad sobre otras 


e La prioridad se define como una métrica (1 a 200) que establece la 
calidad de servicio (QoS) para un protocolo de nivel de aplicación. 


e Aquellas conexiones para las cuales no existe una bandwidth rule 
asociada, serán priorizadas con una política por default. 
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Filtros de Aplicación SEK. REIT 


e Permiten establecer una capa de seguridad adicional a 
través del análisis de la información de los paquetes al 
nivel de aplicación. 


¢ SMTP filter 

e DNS intrusion detection filter 
e POP3 intrusion detection filter 
e FIP access filter 

e RPC filter 

e HTTP redirector filter 
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Petición saliente SEK REIT 





T Petición de un cliente interna 
$ ¿Hay a ER que | 
di rechaza la petición? 


¢ iHay ung protocolrule que atacara que. E Bloquear la petición 


A permite la petición? 


å Hay q ste and content rye 


Y que rechaza la petición? 


> ¿Hay Na ste and content ue 


i gue permite la petición? 











¿Un aie de paquete IP 
Y ae la petición? 


im la peticion 
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Schedules SEK REIT 


=e ISA Management 





| Acción Wer + Ea | EY 


Internet Security and Acceleration Server Config ure Sc hed LI les 





Er h Servers and Arrays for TOMARCTLIS 
ke ea TOMARCTUS 
fa 2 Monitoring Schedules determine when a rule is active. 


SEL 









Use this taskpad to configure schedules. 


Available schedules: 


Mame Description 











— (de a 20 hrs Lunes a domingo de 8 a z0... 
Randwdth Priorities gE) weekends 
Destination Sets (work hours 


Client Address Sets 
Protocol Definitions 
Content Groups 
Dial-up Entries 
Cache Configuration 


H- 
Gf) Monitoring Configuration ee we mA 


la l l Create a Schedule Delete a Schedule Configure a Schedule 
H- Metwork. Configuration 
Client Configuration 


a TE H,323 Gatekeepers 


Help Up Home 
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Client Address Sets SEK REIT 


=u: ISA Management 





| Acción ver 


Arbol 






Internet Security and Acceleration Server Config Ure C | ient Add ress Sets 





a- Servers and Arrays for TOMAR CTLS 
El a TOMARCTUS 
Hg Monitoring Client sets consist of one or more computers. 
3 cmp! For access policy rules, client sets include computers that are part of pour internal 
Access Policy network. 
H- E) Publishing For Web publishing rules, client sets include computers external to pour network. 


Bandwidth Rules 
a de Policy Elements 

|) Schedules 
Bandwidth Priorities 
Destination Sets 









Available Client Sets: 


Mame Description 


TA Clientes externos de Servicios... Clientes externos pa... 200.11.24.65 - 200.11.24.95 
fired Central Red central de la or... 172.16,50.1 - 172.16.50.254 





Clients 


Client Address Sets 
Protocol Definitions 





Content Groups 
_) Dial-up Entries 
Cache Configuration 








Monitoring Configuration 
| mee C] 
Extensions En EN 
. Network Configuration i 
Open Windows! User Create a Client Set 
Ea Client Configuration Manager 


E. $ H,323 Gatekeepers 





Gi 


Delete a Client Set Configure a Client Set 


Help Up Home 
Listo | | 
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Destination Sets SEK REIT 


=e ISA Management 





Arbol | 






Internet Security and Acceleration Server Config Ure Desti nation Sets 











a-E Servers and Arrays for TOMARCTUS E = 3 
al a TOMARCTUS : \ E 
1-8 Monitoring Destination sets include one or more computers or directores on specific computers. = y E F 
: P For access policy rules, destination sets include computers that are not in your internal 
Access Policy mekaar 
H- E Publishing For Web publishing rules and server publishing rules, destination sets usually include 
[5 Bandwidth Rules computers that are in your internal network. 
El de Policy Elements 







Available Destination Sets: 


Mame Description 


D Microsoft El dominio de Microsoft * microsoft, com 
D Red de bodega GDL Red de bodega Guadalajara 200.11.24.65 - 200.11.24.95 
D Servidor Web Un servidor Web interno HELM, Borophagus. corn 


Schedules 





: Bandwidth Priorities 
a Ay Destination Sets 
-E Client Address Sets 
Protocol Definitions 
Content Groups 

_) Dial-up Entries 
Cache Configuration 





Destinations 











d 
Monitoring Configuration =l 
Extensions A 
448 Network Configuration E A 
E ha a Client Configuration Create a Destination Set Delete a Destination Set Configure a Destination 
E: TE H.323 Gatekeepers set 
Help Up Home 


A, NA NE 
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Protocol Definitions SEK REIT 


45 ISA Management 








Internet Security and Acceleration Server Config Ure Protocols 











Fl a Servers and Arrays for TOMARCT LS 
| a TOMARCTUS 
3 S Monitoring Microsoft Internet Security and Acceleration [154] Server includes a wide variety ol 

F Computer predefined protocol definitions, which you can use when pou create protocol rules or 
T Acees Poley server publishing rules. 
E H Publishing ou can further expand the set of protocol definitione by using 15.4 Management to 
Bandwidth Rules create Your own. 
E a Policy Elements 





Available Protocols: 


Defined b 


POPS Server Post Office Protocol v,3 - Server 154 Server 110 
POPS Secure Post Office Protocoly.3 154 Server 995 
9 POPS5 Server Secure Post Office Protocoly.... ISA Server 395 
(9 Quote (TCP) Quote of the day protocol {TCP} 154 Server 17 


A id Cooke AE E Ar remera OL IMA TOR na nr 17 


Schedules 

3 Bandwidth Priorities 
_| Destination Sets 

Client Address Sets 

bees 3 Protocol Definitions 

nE Content Groups 

Cial-up Entries 
















T 





Cache Configuration 
Monitoring Configuration 
Extensions La Ñ 
. Metwork. Configuration 
a a Client Configuration Create a Protocol Delete a Protocol 
a-i H.323 Gatekeepers Definition Definition 


Help Up Home 
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Bandwidth Priorities SEK REIT 


eye ISA Management 





| Acción Ver + (m | | E 
árbol | Outbound bandwidth | Inbound Bandwidth 






x l 7 
Internet Security and Acceleration Server ae Aa bandwidth priority 100 100 


=~ E Servers and Arrays 
a- TOMARCTUS 
H Monitoring 


j Computer 
Access Policy 


E af Publishing 
Bandwidth Rules 
a de Policy Elements 

: Schedules 
4 Bandwidth Priorities 
[79 Destination Sets 
Client Address Sets 
Protocol Definitions 
Content Groups 
Dial-up Entries 














Network Configuration 
Client Configuration 
G- TEN H.323 Gatekeepers 
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Protocol Rules SEK 


CONSULTORES ENW SEGURIDAD INFORMATICA 


iue ISA Management 





ME =- El PA |e || 





Internet Security and Acceleration Server Config Ure Protocol Ru les 





E HE Servers and Arrays for TOMARCTLIS 
EA TOMARCTUS 
Hg Monitoring Protocol rules determine which protocols can be used to communicate with the 


P Computer Internet. 
=]-- 33] Access Policy 






Available Protocol Rules: 


[Mame | Scope Protocol (action | Applies To 
fh Permit RED CENTRAL SALIR. Array All IP traffic Client Sets: 
Permitir SMTP y POP SALIR. POPS OP ao) SMTP. Client Sets; 





Allor 
Allow 
























Array Red C] 





Bandwidth Rules 

Policy Elements 

Cache Configuration 
Monitoring Configuration 
Extensions 4 +| 
Network. Configuration 


Client Configuration fe 


H-b H,323 Gatekeepers 
Create a Protocol Aule Create a Protocol Rule 
for Internet Access 


$ 


Delete a Protocol Rule Configure a Protocol 
Rule 
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Site and Content Rules SEK REIT 


zue ISA Management 





| Acción Wer 





Arbol | 
Internet Security and Acceleration Server Config Ure S ite Ru les 
El $ Servers and Arrays for TOMEROCTLS 
og TOMARCTUS 
ae Monitoring Site and content rules determine if content on the specified destination computers 





can be accessed by specific users. 


Computer 
P Use this taskpad to create, configure or delete site and content rules. 


Access Policy 

= «3 Site and Content Rules 
_] Protocol Rules 

La gels Filters 







Available Site and Content Rules: 


Mame 3 Scope |De... | Action | Applies to | Schedule 


LB Negar acceso a Microsoft Array Deny Client Sets:... Always Microsof 
CA Allow rule Array Allow Any T Glas All destir 





Destinat 








+ 





3 Network, Configuration 
: Client Configuration 
i-i H,323 Gatekeepers a A 
Create a Site and Delete a Site and Configure a Site and 
Content Rule Content Aule Content Rule 
Help Up Home 


E 
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Packet Filtering 


zu: ISA Management 





SEK 


CONSULTORES ENW SEGURIDAD INFORMATICA 








Internet Security and Acceleration Server 
Éi- $ Servers and Arrays 
EG] TOMaRcTUS 
m-e Monitoring 


x Computer 
El af Access Policy 


Site and Content Rules 
T] Protocol Rules 

Eh ¿3 IP Packet Filters 
H-E Publishing 

(9 Bandwidth Rules 


for TOMARCTUS 


network. 





filtering properties. 







Available Packet Filters: 


(DHCP Client Allow 


Cache Configuration r 
: DNS Filter Allow 
[+]- Monitoring Configuration E 
a- Extensions A ICMP outbound Allow 


A ICMP ping response (in) Allow 
7 ICMP source quench Allow 





H- H,323 Gatekeepers 


Secure Your 15.4, Server Configure Packet 
Computer Filtering and Intrusion 
Detection 


Delete a Packet Filter Configure a Facket Filte 


N 
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Configure Firewall Protection 


[54 Server acts as pour corporate network's gateway to the Internet. Itis therefore 
Imperative that 156 Server computers are fully secured. 156, Server's security wizard 
and packet filtering options secure your (SA Server computer, better protecting your 























Use this taskpad to configure security settings, create packet filters and set packet 





TOMARCTUS 
TOMARCTUS 
TOMARCTUS 
TOMARCTUS 
TOMARCTUS ~| 


IP Packet Filters Properties 


General | Facket Filters | Intrusion Detection | PPTP | 






ae Use this page to control packet routing and 
E] filtering properties. 


M Enable Intrusion detection 


I Enable IP routing 
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Server Publishing SEK EIT 


eye ISA Management 








Arbol 
Internet Security and Acceleration Server PU bl ish Servers 

E El, Servers and Arrays for TOMARCT US 

Eg TOMARCTUS 
Era Monitoring Publish a server located on your internal network, making it available to external 
-A Computer clients. 
= J Access Policy NOTE: To publish a Web server, use Web publishing rules. 
om Publishing 

eee) Web Publishing Rules To publish a Mail server, use the Mail Server Security wizard. 





been S Server Publishing Rules 
3 Bandwidth Rules 






Published Serverz: 


Mame JO Protocol | Internal IP Address 


Servidor SMTP Interno SMTP Server 12,16,50,11 






External IP Address 
10,1,1,253 





: Network, Configuration 
A Client Configuration 
a H,323 Gatekeepers 


T ğ J 


Publish a Server Delete a Server Configure a Server 
Publishing Rule Publishing Rule 


Help Up Home 


AA NA | 
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CONSULTORES EN W SEGURIDAD INFORMATICA 


Recursos SEK. REIT 


Microsoft ISA Server Trial 


e www.microsoft.com/isaserver/evaluation/ trial/default.asp 


Tutoriales y articulos sobre ISA Server 
e www.isaserver.org 


NIST Keeping your site comfortably secure: An introduction to Internet 
Firewalls 


e http://csrc.nist.gov/publications/nistpubs/800-10/ 
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Certificaciones de cortafuegos SEK | EIT 





— ICSA (www.icsalabs.com) 


e Establece criterios de evaluación para cortafuegos comerciales que 
incluyen obligatoriamente: 


— Capacidades de registro en bitácoras 
— Capacidades de administración 


— Persistencia: Politica de seguridad, bitácoras, autenticación, 
administración remota 


— Pruebas de funcionalidad 
— Pruebas de seguridad 
— Documentación 
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Certificaciones de cortafuegos (cont.) SEK | EIT 





— ICSA (continuación) 


e Adicionalmente, los cortafuegos serán evaluados contra criterios , 
según el mercado a que se dirige: residencial, pequeña y mediana 
empresa, corporativo. 


e Los criterios especificos incluyen: 
— Tráfico denegado hacia hosts y redes internas 
— Servicios mínimos entrantes y salientes 
— Capacidades de administración y autenticación 
— Persistencia 


e ICSA evalúa las caracteristicas del producto final, pero deja de lado 
la evaluación de los procesos internos del fabricante en la 
producción de los dispositivos. 
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— Common Criteria (www.commoncriteria.org) 


e Common Criteria es una organización que reune los esfuerzos de 
diversos países por establecer criterios de evaluación de productos 
de seguridad. 


e Sus antecesores directos son ITSEC (Information Technology 
Security Evaluation Criteria, 1991 ), conformado por iniciativas 
alemanas, francesas, británicas y estadounidenses; los Federal 
Criteria de EEUU, 1993; y los Canadian Criteria, 1993. 


e Posee un estándar internacional utilizado para evaluar productos de 
tecnología de la información que proveen servicios de seguridad 
(ISO 15408). 


e Los productos son evaluados contra un Protection Profile (PP), 
desarrollado para una familia particular de productos, en este caso 
cortafuegos. 
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— Common Criteria (continuación) 


El PP describe los requerimientos funcionales, amenazas y 
características específicas aplicables a la familia de productos. 


Los PPs se desarrollan con relación a un Evaluation Assurance 
Level (EAL). El EAL determina el nivel de confiabilidad de que las 
funciones de seguridad del producto serán realizadas 
adecuadamente. A mayor EAL, mayor confiabilidad. 


EAL1 - Functionally tested 

EAL2 - Structurally tested 

EAL3 - Methodically tested and checked 

EAL4 - Methodically designed, tested and reviewd 
EAL5 - Semiformally Designed and tested 

EAL6 - Semiformally Verified Design and tested 
EAL?7 — Formally Verified Design and tested 
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e Solución de cortafuegos de caracter empresarial que forma parte de 
una suite de productos que incluye, entre otros: 


— VPN-1, para implantación de VPNs 
— Floodgate-1, para la administración de la calidad de servicio 
(QoS) 


e Puede integrar: 
— Control de acceso 
— Detección de intrusos 
— Filtraje de contenido 
— Autenticación de usuarios 
— NAT 


e Disponible para plataformas: 
— Solaris, HP-UX, IBM-AIX y Windows 
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Management Server 


e Se utiliza para monitorear y controlar el Firewall Module, a través de 
la creación de una política de seguridad. 


e Contiene también las bases de datos de objetos, bitácoras y 
definiciones de usuario. 


Graphical User Interface 


¢ Es un front/end para el Management Server, que puede ser 
instalado en uno o varios equipos independientes para la 
administración de la politica de seguridad. 


Firewalled Module 


e Es el módulo que hace cumplir la política de seguridad, y se instala 
en los puntos de acceso. 


e La política de seguridad se compila en el Management Server y se 
carga al Firewalled Module para hacerse cumplir. 


Diplomado en Seguridad Informática | Cortafuegos | O 2003 SekurelT, S.A. de C.V. 10.2003 | Página 1 


Arquitectura de Firewall-1 (cont.) SEK REIT 










MANAGED FW 
MODULE Mota: esta dirección IP 
requiere una licencia 
de Chekpoint 





Puede ser una sola maquina 





RED PROTEGIDA 





Diplomado en Seguridad Informática | Cortafuegos | © 2003 SekurelT, S.A. de C.V. 10.2003 | Página 1 


Firewalled Module SEK _ REIT 





¢ El Firewalled Module a su vez se integra de dos componentes 
importantes: 


e Inspection Module 


— Implanta la política de seguridad, analizando todas las 
comunicaciones que fluyen a través del cortafuegos para 
garantizar su cumplimiento. 


— Registra eventos. 
— Establece la comunicación con el Management Module. 


e Security Servers 
— Proveen los servicios de filtraje de contenidos y autenticación. 


— Un security server es invocado una vez que el Inspection 
Module, al examinar la política de seguridad, determina que se 
requiere autenticación o filtraje de contenido. 
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A través de la autenticación, Firewall-1 permite verificar la identidad de 
un usuario, antes de permitirle acceder a algún servicio. 


Existen tres métodos de autenticación: 


— User Authentication 
+ Es valida para los servicios HTTP, FTP, telnet y rlogin 


e Cada vez que el usuario desea establecer una conexión, debe 
autenticarse. La autenticación es válida sólo para esa conexión 
individual. 


— Session Authentication 
e Es valida para cualquier servicio 


e Es similar a User Authentication en el sentido de que se requiere 
una autenticación para cada conexión. 


e La autenticación se hace transparente al usuario a través de la 
instalación del Session Authentication Agent en la estación de 
trabajo del usuario. 
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— Client Authentication 


El usuario se autentica una vez. 
La autenticación es asociada a la IP de su estación de trabajo. 


Subsecuentes solicitudes de servicio son autorizadas durante un 
período de tiempo definido por el administrador, sin la necesidad de 
autenticación adicional. 

Válida para cualquier servicio. 

El usuario puede autenticarse manualmente haciendo un telnet al 
puerto 259 del Firewall, o bien a través de una conexión web a su 
puerto 900. 
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CONSULTORES EN W SEGURIDAD INFORMATICA 


— Network Objects 
e Permiten especificar recursos de red y sus propiedades 
e Estos objetos son utilizados en la definición de la politica de 
seguridad del cortafuegos. 
e Algunos de los objetos de red que pueden definirse son: 
— Workstations 
— Networks 
Internet domains 
— OSE devices (routers) 
IP address ranges 
— Grupos de los objetos anteriores. 
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— Users 


e Permiten especificar usuarios o grupos de usuarios y sus atributos, 
tales como el origen y destino de tráfico válido para ellos. 


— Services 


e Permite definir los protocolos del nivel de aplicación, mensajes 
ICMP y programas RPC que serán conocidos por el cortafuegos y 
que serán utilizados en la generación de la política de seguridad. 


— Time 


e Permiten especificar horarios o grupos de horarios que pueden ser 
utilizados en la definición de las reglas de la política de seguridad 
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Check Point Firewall-1 tiene maneja tres modos de NAT 
— Hide Mode 
e Mapea un conjunto de redes privadas a una sola dirección pública, 
usualmente la dirección externa del Firewall, asignando puertos 
dinámicamente para distinguir las conexiones de los diferentes 
hosts. 


e Los hosts de la red escondida no pueden recibir conexiones 
entrantes 


e Se usan dos pools de direcciones distintos: 
— 600 a 1023, si el puerto original es menor a 1024 
— 10.000 a 60.000, si el puerto original es mayor a 1024 


e En el caso de multiples interfaces, es posible especificar la 
dirección 0.0.0.0 para hacer Hiding NAT, de modo que Firewall-1 
sustituya en el encabezado la dirección de la interfaz por la que el 
paquete es enrutado. 
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— Static Source Mode 
e Mapea direcciones privadas de la red interna en direcciones 
públicas. 
e Se utiliza cuando los clientes de la red interna, con direcciones 
privadas, inician conexiones al exterior 


— Static Destination Mode 


e Mapea direcciones públicas a direcciones privadas de la red 
Interna. 


e Se utiliza cuando clientes externos son quienes inician la conexión 
hacia servidores en la red interna. 
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Recursos seit REIT 


ICSA Labs 


e www.icsalabs.com 


Common Criteria 
e www.commoncriteria.org 


Manuales de CheckPoint 


¢ http://docs.securepoint.com 


¢ http://www.checkpoint.com/support/technical/documents/docs_ng.h 
tml 


Grupos de Discusion CheckPoint 
¢ http://www.checkpoint.com/newsgroups.html 
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Gracias por su atención 





EIT 


CONSU LTORES 3 EN Sc0ur RIDAD INFORMATICA 





http://www.sekureit.com 
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